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(54) Tide: PUBLIC KEY CRYPTOGRAPHY PROCESS BASED ON THE DISCRETE LOGARITHM 
(54) Titre: PROCEDE DE CRYPTOGRAPHER A CLE PUBLIQUE BASE SUR LE LOGARITHMS DISCRET 
(57) Abstract 



The invention relates to a cryptography process with 
public key, based on the discrete logarithm and implying the 
calculation of the magnitude r - g k modp, wherein p is an 
integer called modulus, and k is a random number. According 
to the invention, a data base comprising the couples (xl g* 1 
modp) is formed, the xi being pseudo-random values and said 
values are used in a linear combination in order to obtain an 
exponent k. the calculation of the magnitude g k modp being 
done by using the gM entering in the combination. Application 
to the digital signature or to the authentication. 

(57) Abrege* 

L* invention a pour objet un precede de cryptographic a 
cl* publique base sur le iogarithme discret faisant intervener le 
caicul de la grandeur r - g k modp ou p est un n ombre premier 
appel* module, k un nombre aleatoire. Selon Hnvention 
on forme une base de donnees comprenant des couples (xi, 
g ,i modp), les x\ etant des valeurs pseudo-aleatoires et on utilise 
ces valeurs dans une combinaison lineaire pour obtenir un 
exposant k, Jc caicul de la grandeur g* modp se faisant en 
utilisant les g*i entrant dans la combinaison. Application a la 
signature nume>ique ou a rauthentificstion. 
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PROCEDB DE CRYPTOGRAPH! E A CLE PUBLIQUE 
BASE SDR LE LOGARITHMS DISCRET 



La presente invention a pour objet un precede de 
cryptographie dite a cle publique base sur le 
logarithme discret faisant intervenir le calcul d'une 
grandeur modulo p. 

Elle trouve une application dans la generation de 
signatures numerigues de messages, ou dans une cession 
d'authentif-ication entre deux entites . 

Dans de telles procedures, la securite est fondee 
sur 1' extreme difficulty qu'il y a a inverser certaines 
fonctions et plus particulierement le logarithme 
discret. 

Ce probleme consiste, etant donne la relation 
mathematigue y • g x modulo p gue l'on notera par la 
suite y m g x mp< ip (qui signifie y est le reste de la 
division de g x par p) , a retrouver x lorsgue l'on 
connalt p, g et y . Ce probleme est impossible a 
resoudre, en l'etat actuel des connaissances , des gue 
la taille p atteint ou depasse 512 bits et gue celle de 
x atteint ou depasse 128 bits. 

Dans de tels systemes , il existe en general une 
autorit€ gui fournit le nombre p de grande taille, 
constituant le module. L'autorite choisit egalement un 
entier g, appele base tel que 1' ensemble engendre par g 
e'est-a-dire 1' ensemble forme des nombres gx modp, pour 
x appartenant a l'intervalle [b, p-i] soit un 
sous-ensemble de taille maximale, au moins 2 128 . 

Les pararoetres p et g sont dits "publics" e'est-a- 
dire gu'ils sont fournis par l'autorite a tous les 
utilisateurs rattaches a cette autorite. 

Selon certaines variantes, ces parametres sont 
choisis individuellement par chague utilisateur et 
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font, dans ce cas, partie int6grante de sa cle 
publigue. 

Un inconvenient xnajeur a la raise en oeuvre de 
syst%mes cryptographigues reside dans la necessity 
5 d' avoir des moyens de calcul et de memorisation 
relativeroent importants du fait des calculs complexes 
qui sont realises. 

En effet, le calcul de la grandeur g k modp consiste 
a rfealiser des . multiplications modulaires et cela est 
10 coQteux en temps de calcul et en place mfemoire. Dans 
des dispositifs electroniques simples n'utilisant que 
des microprocesseurs standards, ce type d' operation 
n'est gu&re realisable. 

Pour des dispositifs electroniques possedant un 
15 processeur specialist pour ce type de calcul, il est 
malgr6 tout souhaitable de limiter, le temps de calcul 
et la place merooire nfecessaire pour les rtsultats 
intennediaires. 

En effet, le calcul de la grandeur g k modp est en 
20 g€n6ral relativeroent coGteux par la mfethode classique 
du "carrd-multiplife" connue sous 1 ' abrfeviation anglo- 
saxonne SQM (Square-Multiply) puisqu'il fequivaut en 
moyenne a 3/2 Log 2 (P) multiplications. 

Selon cette rofethode on calcule toutes les 
25 puissances de g c'est a dire, lorsque k est de longueur 
n bits, tous les carres : 



30 



g 2 , g 2 , • • • i 



Selon la methode du "carre multipli6» simple g* 
requiert n/2 multiplications et n carr€s. 

Une mfethode proposee par E. BR1CKELL et al. 
denommee par 1 ' abreviation BGCW permet de reduire le 
35 nombre de multiplications dans le cas de la m§thode du 
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carre-multiplie mais introduit un besoin de stockage de 
nombreuses constantes precalculees et done la necessite 
de disposer d'une quantite de memoires de stockage tres 
penalisante. 

La presente invention a pour objet de remedier a 
tous" ces inconvenients-. Elle perroet d'apporter une 
solution souple et peu onereuse en temps de calcul et 
en place roemoire 4 la mise en oeuvre d'algori throes 
cryptographiques pour tous systemes de cryptographie et 
en particulier par des appareils portables du type 
carte a puce 4 microprocesseur . 

Selon 1' invention deux solutions sont proposees. 
Les deux solutions sont basees sur un principe coromun 
consistant S constituer une base de donnees de valeurs 
aleatoires et a combiner ces valeurs pour determiner 
des exposants k servant aux echanges entre deux 
entites. 

Avec les deux solutions proposees # le calcul d'un 
exposant k requiert moins de 30 multiplications 
raodulaires pour un espace memoire tout a fait 
acceptable pour des supports tels que les cartes a 
puce . 

L' invention a plus particuliereroent pour ob^et un 
procede de cryptographie a cle publique base sur le 
logarithme discret faisant intervenir le calcul de la 
grandeur r = g k roodp ou p est un nombre premier appele 
module/ 1' exposant k un nombre aleatoire habituellement 
de longueur N bits et g un entier appele base, dans 
lequel une entite E realise des operations 
d'authentification et/ou de signature, comprenant des 
echanges de signaux avec une autre entite dans lesquels 
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intervient cette grandeur, caract&rise en ce qu'il 
comporte les etapes suivantes pour une entity donnee : 

- former une base de donnees contenant un nombre 
fixe d'exposants et les puissances correspondantes , 

5 puis pour chague echange de signaux: 

- generer un exposant -en operant: une combinaison 
lineaire aleatoire des valeurs d' exposant de la base, 

- et calculer la puissance de g a partir des 
puissances de la base entrant dans la combinaison. 

10 

Selon un premier mode de realisation, les stapes 
consistent hz 

- former une base de donnfees fixe contenant 
m valeurs alfeatoires et les grandeurs 

15 correspondantes z± telles que » g x * modp, 

- gen£rer un exposant k necessaire a chaque 
signature en operant une combinaison lineaire aleatoire 
des valeurs x^ de la base, 

- calculer la grandeur g k modp a partir des 
20 grandeurs 2^ relatives aux valeurs x i intervenant dans 

la combinaison, 

- utiliser cette grandeur dans les echanges de 
signaux avec une autre entitfe* 

25 Selon un deuxieme mode de realisation, les 6tapes 

consiste a : 

- former une base de donnees Evolutive contenant 
n valeurs aleatoires d'exposants et leur puissance (k^, 
g k i modp) 

30 - generer un nouvel exposant necessaire a une 

signature en operant une combinaison lineaire aleatoire 
des n valeurs k^ , 
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- calculer la grandeur g k i+l modp en r€alisant le 
produit des puissances de g* de la- combinaison 
lineaire, 

- mettre a jour la base des exposants et des 
5 puissances, 

- utiliser cette grandeur dans les ^changes de 
signaux avec une autre entite. 



D'autres particularit.es et avantages de 1' invention 
apparaltront a la lecture de la description qui est 
faite et qui est" donn^e & titre d'exemple illustratif 
et non limitatif en regard des dessins qui 
reprfesentent : 

- la figure 1, un schema de prihcipe d'un systemi 
apte a mettre en oeuvre 1' invention , 

- la figure 2, un schema fonctionnel representant 
les stapes essentielles du procedfe selon 1' invention, 

- la figure 3, le schema fonctionnel selon un 
premier mode de realisation , 

- la figure 4, le schfema fonctionnel selon un 
deuxifeme mode de realisation. 

On a represents sur la figure l, un schema de 
principe d'un systeme de mise en oeuvre du proc6d6 de 
cryptographie objet de 1' invention. 

Ce syst6me est formfe d'une entity El dSsirant 
effectuer des ^changes de signaux electroniques avec au 
moins une autre entite E2 . les deux entitfes sont munies 
respectivement d'une unite de traitement (CPU) 11, 30, 
d'une interface de communication, d'une memoire vive 
(RAM) 13, 32 et/ou d'une memoire non inscriptible 
(ROM) 14, 34 et/ou d'une memoire non volatile 
inscriptible ou reinscriptible (EPROM ou EEPROM) 15, 33 
et un bus d'adresses, de donnees, de contrdle 16, 35, 
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L' unite de comroande de traitement et/ou la ROM 
contiennent des programmes ou des ressources de calcul 
correspondant & 1'exScution des Stapes de calcul 
intervenant dans le procSdS objet de 1' invention, 
5 c'est-S-dire lors d'une session d' authentif ication ou 
lors de la gSnSration d'une signature Slectronique ou 
au eours des--quelles les deux entitSs s'Schangent des 
signaux electroniques. 

L' units de traitement ou la ROM possSdent les 

10 ressources necessaires a des multiplications, additions 
et reductions modulaires. 

De mSme que 1 'units de traiteroent et/ou la ROM 
comportent les fonctions . de cryptographie utilisSes 
propres a chaque algorithme de cryptographie et les 

15 paramStres g et p, necessaires au calcul et fixSs un 
fois pour toute pour la suite. Les exposants x^ selon 
le premier mode ou selon le deuxiSme mode pourront 

Stre chargSs au pr Salable dans une mSmoire 
reinscriptible, par 1'autoritS ou, gSnSrSs a partir 

20 d'un gSnSrateur alSatoire et d'une valeur alSatoire 
source x Q (ou k 0 ) secrete. Chaque entitS El, E2 possede 
en outre une clS secrSte x et la clS publique y. 

L' invention s'appiique tout particuliSrement aux 
systSmes a cryptographie mis en place dans le doroaine 

25 bancaire od une grande sScuritS est requise lors de 
transactions opSrSes sur les comptes. 

C'est aussi le cas oCt 1'on dSsire authentif ier 
1' envoi de messages transmis sous forme de signaux 
electroniques envoySs par une autre entitS. 

30 C'est aussi le cas o\l 1'on a besoin de signer des 

messages lors d'echanges de signaux avec une autre 
entitS. 

En pratique, l'entite desireuse de rSaliser une 
transaction pourra etre, par exemple, une carte a 
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circuit integre telle qu'une carte a puce et l'entite 
destinataire sera alors un terminal bancaire. 

La suite de la description va fetre faite dans le 
cadre.de 1' application du procede a la signature de 
messages numSriques, etant bien -entendu que 1' invention 
s' applique a tout systeme de cryptographie base sur le 
logarithme discret. 

La figure 1, illustre les Stapes essentielles du 
procede. Selon 1' invention on forme une une base de 
donnees contenant un nombre fixe d'exposants et les 
puissances correspondantes , 

puis pour chaque echange de signaux: 

- on genere un exposant en operant une combinaison 
lineaire aleatoire des valeurs d'exposant de la base, 

- et on calcule la puissance de g a partir des 
puissances de la base entrant dans" la combinaison. 

Le procede selon 1' invention propose. deux solutions 
reposant toutes deux sur la formation (ou constitution) 
de cette base de donnees. 

Selon le premier mode de realisation, la base est 
fixe et est formee d'un ensemble de in couples (x^ z A ) . 
Les donnees x ± sont des nbmbres -alfiatoires obtenus 
comme dit precedemment par un generateur de nombres 
aleatoires ou pseudo-aleatoires. La longueur de ces 
nombres est celle d'un exposant k et est la meme pour 
tous ( soit N bits ) . Les grandeurs z ± sont le resultat 
d'un calcul prealable tel que : 



x i 



z^ = g roodp. 

La longueur des grandeurs z ± est celle du modulo p. 
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Lorsque l'entit6 El poss&de cette base de donnfees 
B - [(x 0 , z 0 ) , ... (Xj^, -Zj^)], elle peut Schanger des 
signaux avec une autre entite en faisant intervenir par 
exemple une signature DSA (r r s) telle que r « g* xnodp 
5 dans laquelle k a 6t6 genere a partir des donnfees de la 
base B. 

Ainsi selon 1' invention, l'entit§ genere un 
exposant k lorsque cela est necessaire et elle le fait 
en rfealisant une combinaison lin&aire alfeatoire des 
10 valeurs x^ de la base. L'entitfe calcule ensuite la 
grandeur g^raodp correspondante. 

Pour la generation de 1' exposant k, 1' entity 
procfede de la mani&re suivante : 

- 1' entite g&nere une sequence de 
15 valeurs a^ (a Q , • qui sont des nombres 

entiers aleatoires tels que 0 ^ a^^ ^ h et parmi lesquels 
w valeurs seulement sont non mil les. 

- 1' entite genfere k de sorte_que : 

m-l 

20 k = Z a^ x^ 

i=0 

- 1' entite calcule ensuite la grandeur g k modp en 
operant les multiplications des puissances de g donnees 

25 par les valeurs z^ relatives aux x^ qui entrent dans la 
combinaison linfeaire* En pratique les x A entrant dans 
la combinaison lineaire sont ceux pour lesquels le 
coefficient a^ est non nul. 

On utilise 1'algorithme de BRICKELL et al. pour 
30 realiser ce calcul, mais le nombre de multiplications 
est d^sorraais (h/h+1) w + h-2 au lieu de 
(h/h+1) m + h-2. 
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Le nombre w est fixe par rapport a la securite 
requise et conduit aux resultats suivants pour des 
valeurs de m et h : 

m=32 , w=24 et h=8 

tn=64 , w=20 et h=6 

Ces valeurs sont donnees a -txtre d'exemple et on 
peut envisager diverses combinaisons des lors que i'on 
respecte les contraintes de securite. 

Dans le cas ou m=64 et v=20, le nombre de 
multiplications necessaires selon 1' invention est de 3 4 
alors qu'avec une methode telle que BRICKELL on aurait 
60 multiplications a realiser. 

Pour m=32, on stocke -par consequent 32 nombres de 
taille du module p soit 512 a 1024 bits suivant le cas 
et 32 nombres de 160 bits (N=i60) . 

Les m couples (x i# z ± )_ seront stockes en 
memoire EEPROM dans le cas ou_l'entite- est une carte et 
cela de facon protege par les methodes habituelles de 
blindage et analogue. 

La deuxieme solution proposee selon 1' invention 
consiste a former une base de donnees evolutive a 
partir de n valeurs aleatoires d'exposants k ± , i=i a n 
et de leur puissance g^i modp. 

Une premifere nouvelle valeur d'exposant k 1+1 est 
ensuite obtenue par combinaison linaaire aiaatoire des 
exposants de la base. Le calcul de la grandeur g* i+1 
correspondant a ce nouvel exposant est effectui. Ce 
nouveau couple est introduit dans la base de donnees en 
rerop la cement du premier. 

Un exposant k necessaire a une signature est obtenu 
par combinaison lineaire de tous les autres exposants 
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de la base et le contenu de la base est modif ie a 
chaque nouvelle generation d'un exposant. 

En effet, on remet a jour la base en reropla^ant le 
premier couple par le dernier obtenu. 
5 Ainsi a 1 'instant t, la base est de la forxne: 

< ( * 0 ' 9 k ° modp ) , ( g k i modp )-,.... 

, ( -k^, g*t; modp ) ) 

on calcule alors k t+1 et on met a jour la base qui 
devient : 

10 ( ( k lr g k i modp ) , ( k 2 , g k 2 modp ) , . . . • 

' , ( k t , g k t modp ), ( k t+1 , g^+l modp )> 

le processus se repute a chaque calcul d'un nouveau 
k dans la sequence pseudo alfeatoire. 

Chaque exposant de la base est une combinaison 
15 lin^aire exprimfe pour la relation suivante : 

h-1 

k t = Z a i k t+i-(h-l)'* 
avec h-1 «= n 

20 

dans laquelle les coefficients a^ sont des nombres 
entiers positifs, aleatoires. 

Les nombres aleatoires sont obtenus & partir d'une 
sequence fixe a Q/ a h _ x sur laquelle on effectue 

25 une permutation alfeatoire. 

Ainsi, la generation d'un exposant k^ +1 peut 
s'exprimer par la relation suivante : 

k t+l = l tl k (t+i-(h-l) ' k tl 
l t etant une f onctionnelle lin^aire ( linear functional 

30 ) a coefficients entiers, choisie au hasard parmi 

L f onctionnelles . 

Les coefficients a i sont des petites puissances 

de 2 . On choisit des valeurs prises entre 1 et 2 f avec 

f ayant une taille qui permet une implementation 



FEUILLE DE REMPLACEMENT (REGLE 26) 



WO 97/13342 



11 



PCI7FR96/01546 



efficace. On choisira par exemple f=7 afin de rester 
coherent avec les valeurs proposees par 1 'algorithine de 
Schnorr. On prendra done la suite 0, . comme 
une permutation. aleatoire de la sequence 
5 (1, 2, ...,2 7 ). 

Les coefficients des -combinaisons lineaires doivent 
etre inferieurs a une valeur seuil b pour eviter des 
attaques et conserver les k t uniformement distribues et 
(h-1) -independant. 
10 En considerant h et L=b*V on suggere les 

valeurs h=8 et b=4 et~on fixe L={1, . .., b}*». 

L.a taille - des norabres k est generalement de 
160 bits. Dans ce cas le nombre de multiplications 
modulaires intervenant selon le procede de 1' invention 
est nettement inferieur au nombre de multiplications 
generalement constate dans l'etat de l'art actuel. En 
effet il est pour les valeurs retenues, inferieur a 30. 
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REVENDICATIONS 

1. Procede de cryptographie a cle publique base sur le logarithme discret 
faisant intervenir le calcul de la grandeur r = g K modp ou p est un nombre 
premier appele module, k un nombre aleatoire habituellement de longueur 
N bits et g un entier appele base, dans lequel une entite E realise des 
operations d'authentification et/ou de signature, comprenant des 
echanges de signaux avec une autre entite dans lesquels intervient cette 
grandeur, procede comportarit les etapes suivantes pour une entite 
donnee : 

- former une base de donnees contenant un nombre fixe d'exposants et 
les puissances correspondantes, puts pour chaque echange de signaux : 

- generer un exposant en operant une combinaison lineaire aleatoire'des 
valeurs d'exposant de la base, 

- et calculer la puissance de g & partir des puissances de la base entrant 
dans la combinaison, 

les dites etapes consistant a : 

- former une base de donnees fixe contenant m valeurs Xj aieatoires et les 
grandeurs correspondantes Zj telles qUe z t = g xl modp, . 

- generer un exposant k necessaire a chaque signature en operant une 
combinaison lineaire aleatoire des valeurs Xj de la base, 

- calculer la grandeur g K modp a partir des grandeurs Zj relatives aux 
valeurs Xj intervenant dans la combinaison, 

- utiltser cette grandeur dans les echanges de signaux avec une autre 
entit6, 

ledit procede etant caracterise en ce que la generation des grandeurs k 
comporte les autres etapes suivantes : 

- generer un exposant k tel que k = Za,Xj et tel que I'on ait w des m valeurs 
aj non nulles, le choix des aj non nuls etant obtenu de facon aleatoire, 

- calculer ta grandeur g K modp en utilisant les valeurs z, correspondant 
aux valeurs X} qui entrent dans la combinaison lineaire de k. 

2. Procede de cryptographie selon la revendication 1, caracterise en ce 
que pour former la base de donnees dans une entite, on effectue les 
etapes suivantes : 

- generer m valeurs aieatoires x } de N bits a partir d'un generateur 
pseudo-aleatoire, et d'une valeur initiate secrete Xq, 



FEUILLE DE REMPLACEMENT (REGLE 26) 



WO 97/13342 



PCT/FR96/01546 



13 



- calculer la grandeur z, = g* modp en realisant le produit des puissances 
de g modulo p entrant dans la combinaison lineaire selon laquelle Deut 
Stre decomposee une valeur Xj, 

- stocker en memoire non volatile de I'entite les m couples (x jf Zj). 

3. Procede de cryptographie a cle publique selon la revendication 1 
caracteris6 en ce que les Stapes consistent a : 

- former une base de donnees Evolutive contenant n valeurs aleatoires 
d'exposants et de leur puissance (k,, g w modp) 

- generer un_nouvel exposant k, + , necessaire ^ une signature en operant 
une combinaison lineaire aleatoire des n valeurs k, de la base 
-calculer la grandeur.g K ' + 1 modp en realisant le produit des puissances 
de g entrant dans la combinaison lineaire, 

- mettre a jour la base en remplacant un couple par ce nouveau couple 

- utiliser cette grandeur dans les echanges de signaux avec une autre 
entite. 

4. Procede de cryptographie selon la revendication 3, caracterise en ce 
que pour un exposant k» de la base; cet exposant est une combinaison 
lineaire de la forme : 

h-1 

k, = L at kt*i-o»-i >; 
i = 0 

avec h - 1 = n 

et dans laquelle les coefficients a, sont des nombres entiers positifs 
ateatoires. K 



5. Procede de cryptographie selon la revendication 3, caracterisee en ce 
q .l e * «J efR ° er, ts a jt i = 0 a h - 1 sont obtenus par une permutation 
aleatoire d une sequence fixe. 
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6. Procede de cryptographie setorrla revendication 5~ caracterise en ce 
qu'un nouvel exposant kt + t est une combinaison llneaire des autres 
exposantss'exprimant par la relation : 

K + 1 = 0<t + i-(h-1) » •••» M • 

et l t une fonctionnelle Iin6aire. 

7. Procede de cryptographie selon I'une quelconque des revendications 
pr^ofedenfes caracterise en ce qu'il peut §tre mis en oeuvre pour des 
cartes.a microprocesseur. 
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